Od chwili uruchomienia systemu ePłatności za jego pomocą uregulowano blisko 12,5 mln zł należności urzędowych. To wygodny sposób, w jaki obywatele mogą opłacać swoje zobowiązania wobec administracji publicznej. Korzysta z niego coraz więcej gmin.
Coraz większa liczba przetwarzanych danych sprawia, że organizacje częściej wdrażają nowoczesne narzędzia informatyczne, w tym umożliwiające sprawne zarządzanie danymi. Do tego typu rozwiązań należy chmura obliczeniowa (cloud computing). Rozwiązania chmurowe umożliwiają przechowywanie, przetwarzanie danych (w tym osobowych) i zarządzanie nimi za pośrednictwem internetu bez potrzeby inwestowania w infrastrukturę IT. Korzystanie z usług chmurowych jest co do zasady możliwe z dowolnego miejsca i urządzania z dostępem do Sieci.
Wdrożenie rozwiązań chmurowych w organizacji wymaga spełnienia odpowiednich wymogów prawnych, w szczególności z zakresu ochrony danych osobowych. W przypadku tego typu technologii najważniejsze jest zadbanie o kwestie dotyczące zadań ciążących na dostawcy usługi i użytkowniku oraz zapewnienie odpowiedniego poziomu bezpieczeństwa informacji.
Różne oblicza cloud computingu
W polskim prawie nie znajdziemy definicji chmury obliczeniowej. Zarówno w literaturze prawniczej, jak i w branży IT podejmowanych jest wiele prób zdefiniowania tego pojęcia. Chcąc jak najprościej ująć istotę chmury obliczeniowej, można uznać, że jest to usługa przechowywania oraz przetwarzania danych przez internet z dowolnego urządzenia (typu komputer, telefon, tablet) oraz z dowolnego miejsca.
Na rynku IT wyróżnia się najczęściej trzy rodzaje chmury obliczeniowej:
z Prywatną chmurę obliczeniową – „(…) rozwiązanie informatyczne tworzone na rzecz konkretnego (pojedynczego) użytkownika” [1]. Z zasobów chmury prywatnej mogą korzystać tylko użytkownicy danej organizacji, dlatego przyjmuje się, że bezpieczeństwo danych w niej przetwarzanych jest większe niż w przypadku chmury publicznej. Instytucja korzystająca z tego typu chmury musi jednak dysponować własną infrastrukturą IT. z Publiczną chmurę obliczeniową – dostęp do jej zasobów jest otwarty dla nieograniczonej liczby użytkowników. Jest to obecnie najczęściej występujący rodzaj na rynku usług IT. Organizacja nie musi dysponować własną infrastrukturą, a więc koszty zastosowania tego rozwiązania są niższe niż w przypadku prywatnej chmury obliczeniowej. z Hybrydową chmurę obliczeniową – „(…) połączenie chmury publicznej z prywatną, gdzie model publiczny wykorzystuje się do aplikacji, za pomocą których przetwarza się dane mniej istotne, natomiast model prywatny te o większym znaczeniu dla użytkownika” [2].
Usługi chmurowe mogą być zaś świadczone w trzech modelach:
- oprogramowanie jako usługa (software as a service),
- platforma jako usługa (platform as a service),
- infrastruktura jako usługa (infrastructure as a service).
Software as a service (dalej: SaaS) to model, w którym oprogramowanie jest dostarczane użytkownikowi przez internet jako usługa. Oprogramowanie nie jest instalowane na urządzeniach użytkownika (w infrastrukturze lokalnej), a użytkownik może z niego korzystać z dowolnego komputera czy też innego urządzenia końcowego zazwyczaj przez przeglądarkę internetową. Oprogramowaniem w modelu SaaS jest np. poczta elektroniczna (Outlook, Gmail) czy też Google Docs.
W ramach platform as a service (dalej: PaaS) użytkownik otrzymuje środowisko deweloperskie w chmurze umożliwiające tworzenie aplikacji (tj. projektowanie, budowanie, testowanie, wdrożenie, zarządzanie). W tym modelu udostępniona zostaje infrastruktura oraz narzędzia programistyczne, systemy zarządzania bazami danych i oprogramowanie pośredniczące. Model PaaS jest najczęściej wykorzystywany przez programistów.
Infrastructure as a service (dalej: IaaS) to z kolei model przetwarzania danych w chmurze, który zapewnia użytkownikowi dostęp do infrastruktury sprzętowej (m.in. do sprzętu sieciowego, systemów pamięci masowej, procesorów) umożliwiającej korzystanie z aplikacji. Przetwarzanie danych w modelu IaaS jest wykorzystywane np. do tworzenia kopii zapasowych i odzyskiwania danych, a także do analizy danych i big data.
Dostawca usług chmurowych – czyli kto?
Chmura obliczeniowa jest ściśle związana z przetwarzaniem danych (w tym osobowych), co oznacza, że wdrażając rozwiązania chmurowe, powinniśmy mieć na uwadze regulacje prawne dotyczące ochrony danych osobowych.
Na wstępie warto zaznaczyć, że przepisy te nie zawierają szczególnych regulacji odnoszących się do przetwarzania danych w ramach usługi chmurowej. Chcąc zdefiniować prawa i obowiązki stron umowy, której przedmiotem jest technologia chmurowa, powinniśmy zacząć od zdefiniowania pojęcia dostawcy usług chmurowych oraz przypisania ról administratora danych i podmiotu przetwarzającego dane.
Zgodnie z definicją przyjętą przez National Institue of Standars and Technology przez pojęcie dostawcy usługi chmury obliczeniowej „rozumieć należy podmiot odpowiedzialny za udostępnianie usługi zainteresowanym stronom, który to nabywa i zarządza infrastrukturą komputerową wymaganą do świadczenia usług, uruchamia oprogramowanie chmurowe, świadczy usługi i dokonuje uzgodnień w celu dostarczania usług w chmurze do klientów chmury poprzez dostęp do sieci” [3].
Stosownie zaś do przepisu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.5.2016, dalej: rodo) administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Podmiot przetwarzający dane to z kolei osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 rodo).
Dostawca usług chmurowych dostarcza zatem konkretne rozwiązanie technologiczne, ale nie decyduje o celach i sposobach przetwarzania danych. To użytkownik systemu (podmiot nabywający usługę chmurową) podejmuje decyzje o tym, jakie dane zostaną przekazane i w jakim celu będą przetwarzane. Nabywca usługi chmurowej zasila dany system/aplikację danymi osobowymi, które podlegają przetwarzaniu.
Mając na uwadze powyższe oraz obowiązujące regulacje prawne, nie ulega wątpliwości, że dostawca technologii chmurowych na podstawie rodo ma status podmiotu przetwarzającego dane, a nie administratora. Administratorem danych jest użytkownik danej usługi.
Kto zabezpiecza dane osobowe
Rozwiązania chmurowe niosą ze sobą zarówno korzyści, jak i wyzwania. Instytucje, decydując się na wdrożenie tego typu technologii, powinny przeprowadzić analizę potrzeb i ryzyk (zwłaszcza w zakresie bezpieczeństwa oraz zgodności z przepisami), dokonać wyboru odpowiedniego modelu chmury obliczeniowej oraz zapewnić pracownikom szkolenia, aby nie zniweczyć efektów wdrożenia i zapewnić efektywność procesów operacyjnych. Czynnikiem decydującym w dużej mierze o sukcesie wdrożenia technologii chmurowej jest wybór dostawcy usług chmurowych, który zapewni odpowiedni poziom bezpieczeństwa danych.
Zgodnie z obowiązującymi przepisami o ochronie danych osobowych administrator danych jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami prawa (np. poprzez wdrożenie odpowiednich polityk ochrony danych osobowych), a także w razie potrzeby wykazać zgodnie z zasadą rozliczalności, że wdrożył odpowiednie środki (art. 24 ust. 1 w zw. z art. 5 ust. 2 rodo). Dokonując wyboru środków zabezpieczenia, można posiłkować się wskazówkami ujętymi w art. 32 rodo. Do możliwych do zastosowania środków technicznych i organizacyjnych zalicza się m.in: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych oraz organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Uwagę zwraca to, że ogóln idea przyświecająca rodo – know your risk – nakłada na dysponentów danych obowiązek samodzielnej oceny ryzyk naruszenia praw i wolności osób fizycznych oraz stosowania adekwatnych mechanizmów im przeciwdziałających
Na gruncie rodo administrator danych osobowych ponosi pełną odpowiedzialność za zgodność przetwarzania danych z przepisami prawa. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie zwalnia administratora z obowiązku ochrony praw osób, których dane dotyczą. W przypadku powierzenia przetwarzania danych innemu podmiotowi administrator jest zobowiązany korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych odpowiadającym wymogom przepisów prawa, w tym bezpieczeństwa przetwarzania danych (art. 28 ust. 1 rodo).
Jak wskazał Prezes Urzędu Ochrony Danych Osobowych w decyzji z dnia 7 września 2022 r., organizacja decydująca się na przeniesienie danych do chmury powinna przed podpisaniem umowy na tego rodzaju usługę dokładnie sprawdzić, czy dostawca usług IT daje gwarancję wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rodo, w tym bezpieczeństwa przetwarzania (patrz: ramka „Decyzja DKN.5131.29.2022”). Administrator danych powinien współpracować jedynie z podmiotami, które gwarantują wdrożenie tychże środków.
Każdy podmiot przetwarzający dane jest zobligowany do systematycznego i cyklicznego weryfikowania, czy zastosowane przez niego środki techniczne oraz organizacyjne odpowiadają ryzyku i zapewniają odpowiedni stopień bezpieczeństwa. Jako dobre praktyki przyjąć należy przeprowadzanie regularnych audytów bezpieczeństwa, szkoleń dla pracowników z zakresu ochrony danych osobowych czy też wdrażanie i aktualizowanie polityk bezpieczeństwa, najlepiej potwierdzonych odpowiednimi certyfikatami (np. z grupy ISO).
Do sprecyzowania podziału zadań pomiędzy administratorem (użytkownikiem usługi chmurowej) a podmiotem przetwarzającym dane (dostawcą usługi chmurowej), a co za tym idzie także zakresu odpowiedzialności dochodzi w drodze umowy powierzenia. Umowa ta – na podstawie art. 28 ust. 3 rodo – powinna określać:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Przedmiotowa umowa powinna zostać sporządzona w formie pisemnej, w tym elektronicznej (art. 28 ust. 9 rodo). Umowa powierzenia danych może być częścią umowy na dostawę usług chmurowych.
Zgodnie z art. 28 ust. 3 rodo do obowiązków podmiotu przetwarzającego dane w imieniu administratora (dostawcy usług chmurowych), które powinny zostać uwzględnione i doprecyzowane w umowie powierzenia, należą:
- przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora;
- zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmowanie środków wymaganych na mocy art. 32 rodo (tj. odpowiednich środków technicznych oraz organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych);
- przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4 art. 28 rodo;
- pomoc administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
- pomoc administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 rodo;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunięcie lub zwrócenie mu wszelkich danych osobowych oraz usunięcie wszelkich ich istniejących kopii, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- udostępnianie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w artykule 28 rodo oraz umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji, i przyczynianie się do nich.
Użytkownik usług chmurowych za pomocą umowy powierzenia powinien w sposób precyzyjny określić zakres obowiązków ciążących na dostawcy usług IT, w szczególności w zakresie gwarancji wdrożenia środków technicznych i organizacyjnych oraz możliwości przeprowadzania cyklicznych audytów w celu weryfikacji stosowanych przez dostawcę usług środków zapewniających bezpieczeństwo przetwarzanych danych osobowych.
Odpowiedzialność za wyciek danych
Odpowiedzialność za legalność przetwarzania danych osobowych spoczywa na administratorze danych, zatem organizacja, wybierając dostawcę usług chmurowych, powinna uprzednio zweryfikować, czy podmiot, któremu zostaną przekazane do przetwarzania dane osobowe, spełnia wymagania wynikające z przepisów prawa i skutecznie chroni prawa osób, których dane dotyczą. W razie ewentualnej kontroli ze strony organu nadzorczego (Urzędu Ochrony Danych Osobowych) administrator będzie musiał wykazać, że podjął wszelkie niezbędne działania zmierzające do zapewnienia ochrony danych.
W przypadku naruszenia ochrony danych osobowych obowiązek jego zgłoszenia do organu nadzorczego ciąży wyłącznie na administratorze danych. Przez pojęcie „naruszenie ochrony danych osobowych” należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rodo).
Administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w czasie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do wyłączenia obowiązku zgłoszenia naruszenia ochrony danych osobowych dochodzi, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 rodo).
Podmiot przetwarzający zaś – stosownie do brzmienia art. 33 ust. 2 rodo – każdorazowo po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je bez zbędnej zwłoki administratorowi. Procesor powinien zawiadomić administratora o każdym naruszeniu bez względu na to, czy dane naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Oceny prawdopodobieństwa, czy dane naruszenie skutkowało ryzykiem naruszenia praw i wolności osób trzecich, dokonuje administrator i zgłasza je ewentualnie organowi nadzorczemu [4]. Dostawca usługi nigdy nie zgłasza incydentu bezpieczeństwa bezpośrednio do organu nadzorczego. Przepisy prawa nie precyzują maksymalnego czasu, w jakim takie zawiadomienie powinno być przekazane do administratora (rodo posługuje się w tym zakresie nieostrym zwrotem „bez zbędnej zwłoki”). Niemniej warto mieć na uwadze, że niewypełnienie obowiązku przez procesora w zakresie zgłoszenia administratorowi naruszenia ochrony danych osobowych może skutkować nałożeniem kary pieniężnej bezpośrednio na administratora, który o dokonanym naruszeniu powinien powiadomić organ nadzorczy maksymalnie w czasie 72 godzin. Końcowy termin na zgłoszenie naruszenia organowi nadzorczemu powinien zatem determinować czas, w jakim procesor powiadomi administratora o naruszeniu. Strony umowy na dostawę usług chmurowych powinny w umowie o przetwarzanie danych określić w sposób szczegółowy procedurę zawiadamiania administratora o incydencie naruszenia danych (w tym czas na zgłoszenie). Co istotne, użytkownik usług chmurowych powinien na bieżąco weryfikować, czy podany przez niego kanał do komunikacji i dane kontaktowe pozostają aktualne. Inaczej zgłoszenie incydentu bezpieczeństwa może okazać się nieskuteczne.
Rozwiązanie bezpieczniejsze niż się wydaje
Usługi chmurowe są dostępne w obrocie gospodarczym od dłuższego czasu, a mimo to nadal wiele organizacji ma poważne wątpliwości co do bezpieczeństwa tego rozwiązania. Niesłusznie – przedmiotowe usługi to korzystne rozwiązanie dla organizacji. Do zalet zaliczyć należy optymalizację kosztów (niższe koszty utrzymania infrastruktury IT), skalowalność aplikacji w zależności od potrzeb użytkownika oraz dużą moc obliczeniową.
Oczywiście usługi chmurowe, podobnie jak każde rozwiązanie, mają zarówno zalety, jak i wady. Niekiedy zdarza się, że organizacje korzystające z rozwiązań chmurowych nie mają odpowiedniej kontroli nad danymi przetwarzanymi w chmurze. Aby uniknąć tego typu sytuacji, współpraca z dostawcami usług chmurowych wymaga precyzyjnego określenia w umowie zakresu obowiązków dostawcy usługi oraz niezbędnych środków technicznych i organizacyjnych, które zagwarantują wymagany przepisami prawa poziom bezpieczeństwa danych. Użytkownik usług chmurowych, jako podmiot odpowiedzialny za legalność przetwarzania danych, powinien wnikliwie weryfikować, czy dostawca usług spełnia wymagania rodo, w tym to, czy zapewnia skuteczną ochronę praw osób, których dane dotyczą.
Choć przetwarzanie danych w chmurze może budzić obawy, to odpowiednio zaprojektowane procedury i cykliczne audytowanie podmiotu dostarczającego usługę powodują, że rozwiązanie to zapewnia bezpieczeństwo danych oraz elastyczność w obszarze zasobów niezbędnych dla danej organizacji.
Przypisy:
- K. Biczysko-Pudełko, Cywilnoprawna odpowiedzialność dostawcy usług cloud computing w świetle przepisów rozporządzenia ogólnego o ochronie danych osobowych – wybrane problemy, 2021, Rozdział I, § 5. pkt I, opubl. w systemie Legalis.
- Tejże, dz. cyt., Rozdział I, § 5. pkt III, opubl. w systemie Legalis.
- Tejże, dz. cyt., Rozdział III, § 1, pkt II ppkt 1, opubl. w systemie Legalis.
- por. Komentarz do art. 33 RODO [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, wyd. 1, 2021, opubl. w systemie Legalis.
Autor
Katarzyna Blachowicz
Autorka jest radczynią prawną oraz menedżerką z wieloletnim doświadczeniem – także w branży IT. Laureatka „Rising Stars. Prawnicy – liderzy jutra”. W 2015 r. Forbes Women umieścił ją na liście liderek „23 na 2023”, a w roku 2023 została wymieniona w raporcie „Strong Women in IT”. Stworzyła unikatowy program CSR „Nowa TY w IT. Profesjonalizm nie ma płci”, którego celem było zachęcenie kobiet do rozpoczęcia kariery w branży IT.
